如何请求需要客户端证书进行身份validation的URL
我需要从使用客户端证书进行身份validation的服务器请求URL,但无法找到为我的应用程序执行此操作的方法。
我的问题是我正在处理的Java客户端有本地可用的证书文件,但是由于它将在其上运行的PC的限制,它无法在密钥库中安装证书。
简而言之,我只是希望能够明确指定用于我需要检索的URL的证书。
有什么建议么?
目前尚不清楚你所谈论的限制是什么。 更具体地说,我不确定您认为本地证书文件和密钥库之间的区别。 大多数密钥库都是基于文件的,因此您可以直接以这种方式加载文件,而无需安装过程。 这些限制是否与JVM本身使用的安全策略相关(这可能会阻止您实例化KeyStore )?
首先,它不仅仅是客户端所需的证书,而是其私钥。 通常,人们在此上下文中使用“证书”一词来表示两者,但您确实需要确保您的文件不包含没有私钥的证书。 通常,您会在PKCS#12文件(.p12 / .pfx)中找到私钥+证书的组合,许多工具以此格式导入/导出; 它也是Sun JVM本身支持的密钥库格式(类型PKCS12 )。
要使其工作,您需要配置与适当的密钥库建立连接的内容。 SSL / TLS客户端证书身份validation始终由服务器启动:如果证书具有证书(并且想要使用证书),则客户端将对其进行响应。 要为特定URL配置它,您需要找出连接的原因(可能是HttpsURLConnection )并将其设置在那里(除非它在默认上下文中设置 – 即使它是在默认上下文中设置的,它也只是用于请求它的服务器)。
要在JVM上全局设置密钥库(这可能是您的限制阻止您执行的操作),您可以设置javax.net.ssl.keyStore javax.net.ssl.keyStorePassword (及相关)系统属性。 (因为密码可见,所以最好不要在命令行上执行此操作)。
这些系统属性用于配置默认SSLContext (通常透明地使用库或类,如HttpsURLConnection来构建SSLSocketFactory ,然后使用SSLSocket ,使用这些属性进行初始化)。
您可以从文件中专门构建SSLContext以用于该连接。 SSLContext实际上是SSLSocketFactory或SSLEngine的工厂,您可以在给定的HttpsURLConnection设置SSLSocketFactory 。
下面将使用“/path/to/file.p12”作为您的密钥库(即具有您的私钥和您要发送的证书的密钥库)构建SSLContext并保留信任库的默认设置(您’ d也需要捕获输入流的exception)。
KeyStore ks = KeyStore.getInstance("PKCS12"); FileInputStream fis = new FileInputStream("/path/to/file.p12"); ks.load(fis, "password".toCharArray()); KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, "password".toCharArray()); SSLContext sc = SSLContext.getInstance("TLS"); sc.init(kmf.getKeyManagers(), null, null);
从那里你可以像这样配置连接(如果这是你正在使用的):
HttpURLConnection connection = (HttpURLConnection) url.openConnection(); if (connection instanceof HttpsURLConnection) { ((HttpsURLConnection)connection) .setSSLSocketFactory(sc.getSSLSocketFactory()); }
一些库将允许您直接传递SSLContext (Apache HTTP Client 4支持它,这可以使用Apache HTTP Client 3 来完成 。)
请注意,在加载密钥库时,您不需要提供密码作为直接参数,您也可以使用回调(从GUI的角度来看可能更好)。
也许这个库可以提供帮助(但这没有必要):你可以使用KeystoreLoader为它的助手做到这一点。 此库中还有SSLContextFactories (但您可能不需要任何包装器,因为它们往往用于自定义信任管理或密钥选择)。
这通常是如何配置客户端证书的,但是如果没有明确说明您的限制是什么(以及您正在使用哪些库),则很难提供更多详细信息。
您可以在调用应用程序时通过属性更改默认的JSSE密钥库, -Djavax.net.ssl.keystore=somefile 。
因此,您可以使用keytool命令将您的证书导入密钥库,并调用指向该应用程序的应用程序,例如
keytool -importcert -file mycert -keystore mystore java -Djavax.net.ssl.keystore=mystore ...